В последние несколько лет резко возросло количество судебных дел, связанных с незаконным распространением и утечкой персональных данных. Эксперты утверждают, что с каждым годом черный рынок данных только растет.
От попадания данных в сеть не защищен никто: почти каждый месяц мы видим новости об очередной утечке из Instagram, LinkedIn, Facebook, Twitter и других организаций. На фоне таких новостей могут закрадываться мысли, что даже, если такие «информационные гиганты» не могут обеспечить стопроцентную безопасность личных данных, то что говорить о других сайтах и компаниях.
Именно поэтому государство, компании и сами пользователи стали уделять гораздо больше внимания вопросу работы с персональными данными. Только в 2020 году суды рассмотрели более 36 500 дел о мошенничестве — это на треть больше, чем в 2019 году. За 2021 год еще нет официальных данных, но, учитывая тенденцию, можно ожидать рост подобных дел на 25-30%.
Согласно ст. 3 ФЗ «О персональных данных», персональные данные — любая информация, которая относится к прямо или косвенно определяемому субъекту. Персональные данные бывают нескольких видов: общие, специальные и биометрические. К первому типу относятся базовые личные данные: сведения из паспорта, СНИЛСа, ИНН, адреса проживания и работы, прочее.
Специальные данные — информация именно о личности человека. Ее обработка не допускается, за исключением нескольких случаев. К этой категории относятся сведения о расовой и национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья. Биометрические персональные данные — сведения о физиологических и биологических особенностях человека, которые позволяют установить его личность. К биометрическим персональным данным относятся: ДНК, голос, радужная оболочка глаза, отпечатки пальцев, изображение лица, рост, вес и т. д.
Наказание за нарушение законодательства о персональных данных предусмотрено ст.13.11 КоАП и влечет наложение штрафа вплоть до восемнадцати миллионов рублей для юридических лиц. В случае нарушения неприкосновенности частной жизни может быть даже уголовная ответственность. А если нарушения причинили моральный вред или убытки, то взыскивать с нарушителя их будут с помощью гражданского законодательства.
Рассмотрим топ-10 ошибок бизнеса при работе с личными данными.
1. Администраторы не разместили на официальном сайте организации согласие на обработку персональных данных
По данным Роскомнадзора, это второе по популярности нарушение. По требованиям ч.2 ст. 18.1 Федерального закона «О персональных данных» от 27 июля 2006 года №152-ФЗ, Политика в отношении персональных данных должна быть доступна для всех пользователей, чтобы каждый желающий мог с ней ознакомиться.
Ошибку легко проверить — нужно зайти на сайт компании, просмотреть все документы, убедиться, что там нет нужного и зафиксировать его отсутствие. Специалисты Роскомнадзора регулярно просматривают сайты компаний. За это нарушение для ИП предусмотрен штраф от 10 000 до 20 000 рублей, для юридических лиц — от 30 000 до 60 000 рублей.
2. Компания не уведомила уполномоченный орган об обработке персональных данных
По данным отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций в 2019 году было выявлено 427 таких инцидентов — то есть 17% от общего количества нарушений. Согласно статье 22 ФЗ «О персональных данных» компании обязаны уведомить Роскомнадзор об обработке ПД.
Уведомление нужно отправить до начала обработки персональных данных и заложить еще 30 дней на включение в специальный реестр. В случае изменений (например, если сменилось лицо, отвечающее за организацию обработки персональных данных в компании), нужно так же оперативно уведомить Роскомнадзор.
3. Организация обрабатывала персональные данные без согласия субъекта, или в случае неправильно составленного согласия
Так, грамотно составленное согласие на обработку персональных данных должно содержать:
- Всю личную информацию субъекта этих данных.
- Данные его представителя, если это необходимо.
- Цель обработки персональных данных.
- Перечень персональных данных, на обработку которых дается согласие.
- Наименование или ФИО и адрес лица, обрабатывающего персональные данные.
- Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных.
- Срок, в течение которого действует согласие субъекта персональных данных.
- Подпись субъекта персональных данных.
- Сведения о компании, которая будет хранить и использовать эти данные.
Отсутствие такого согласия может привести к штрафам до 500 000 рублей для организаций. К такой ответственности привлекалось одно из крупнейших в России агентств по взысканию просроченной задолженности: у них в согласии на обработку данных отсутствовала информация о лице, осуществляющего обработку данных, а также отсутствовала цель обработки и перечень данных, которые подлежат обработке (Постановление Санкт-Петербургского городского суда от 18.06.2018 № 4а-763/2018 по делу № 5-1224/2017-69).
4. Бизнес не обеспечил условия сохранности и конфиденциальности данных своих клиентов и сотрудников
Персональные данные носят конфиденциальный характер: оператор обязан не допускать к ним третьих лиц. Если компания поручает сторонней организации их обработку, то необходимо прописать, с какой целью они передаются; какие действия будут с ними совершать; обязанности партнера по обеспечению конфиденциальности и безопасности полученных персональных данных. Роскомнадзор может выявить это нарушение при проверке, если запросит копию договора между организациями.
Плюс, согласно Трудовому Кодексу и ФЗ «О персональных данных» нужно разработать внутреннее положение, регламентирующее хранение и защиту персональных данных.
Если говорить о примерах, то очень много жалоб поступает на ЖКХ за отправление платежных документов с личной информацией без конвертов.
Ответственность предусмотрена, если несоблюдение норм по защите и хранению данных повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них. Штрафы для юридических лиц до 100 000 руб.; для ИП до 40 000 рублей.
5. Компания обрабатывает и использует нецелевые персональные данные
Здесь мы говорим о хранении «лишней», избыточной информации о сотрудниках и клиентах. Такие нарушения часто встречаются у кредитных организаций. Был случай, когда на гражданина без его согласия и волеизъявления была выпущена банковская карта. Дальше банк начал взаимодействовать с «клиентом», размещая листовки с персональными данными под входной дверью квартиры.
Согласие на использование персональных данных с целью выпуска банковской карты, а также взаимодействия с целью обслуживания данной карты, гражданин банку не давал.
В ходе проверок Роскомнадзор выявил нарушение и направил дело на рассмотрение в суд, где банку назначили штраф. Сюда же подпадают телефонные звонки с предложением услуг (Определение Мосгорсуда от 14.05.2019 по делу № 7-5117/2019), реклама и прочее.
6. Бизнес не обеспечил место хранения персональных данных и составление перечня лиц, осуществляющих их
По требованиям ФЗ «О персональных данных» нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. Так, личные данные сотрудников должны храниться отдельно от договоров с клиентами, например, в сейфах или запирающихся шкафах.
Если Роскомнадзор во время проверки увидит документы с персональными данными на столах сотрудников, а не в специально отведенном месте, то может возбудить административное дело по ч.6 ст. 13.11 КоАП РФ. Необходимо издать внутреннее положение или приказ, где будет утвержден перечень мест хранения материальных носителей персональных данных – журналов, личных дел и прочего. Во всех кабинетах, где персональные данные обрабатываются на бумаге, важно определить места хранения — например, сейфы.
7. Компания работала с личными данными граждан РФ, используя базы данных, которые находились не на территории Российской Федерации
В соответствии с ч.5 ст.18 Закона «О персональных данных» и ст.13.11 КоАП, базы данных для обработки персональных данных должны находиться только на территории РФ. Несоблюдение нормы влечет наложение штрафа на граждан в размере от 30 000 до 50 000 рублей; на должностных лиц — от 100 000 до 200 000 рублей; на юридических лиц — от одного до шести миллионов рублей.
В случае повторного нарушения штрафы увеличиваются вдвое. Так компанию Twitter Inc. оштрафовали на четыре миллиона рублей за то, что персональные данные российских пользователей хранились на зарубежных серверах (Решение Таганского районного суда г. Москвы от 16.03.2020 по делу № 12-0449/2020), а в 2016 году по этой причине был заблокирован LinkedIn.
8. Организация неправильно уничтожала персональные данные, или отказалась это сделать по просьбе заявителя
Гражданин или его полномочный представитель вправе потребовать уточнить персональные данные, заблокировать их или уничтожить. Компания обязана сделать это, если данные утратили актуальность, оказались неполными или неточными, а также если их получили незаконно или использовали в целях, отличающихся от заявленных.
Если субъект данных потребовал уничтожить информацию, нельзя продолжать ее обрабатывать. За это может быть наложен штраф до 4 000 руб. для граждан; до 40 000 руб. для предпринимателей; до 90 000 руб. для компаний (ч. 5 ст. 13.11 КоАП РФ).
Такое нарушение чаще всего выявляется через жалобы частных лиц. Порядок уничтожения персональных данных обязательно должен быть прописан в локальных актах.
9. Компания не применяет нормы российского законодательства
При работе международных сайтов их владельцы ориентируются на международное законодательство. При этом в Минкомсвязи разъяснили, что закон применяется к сайтам, «с использованием которых, лицо осуществляет направленную на территорию Российской Федерации деятельность».
Иными словами, это все сайты с российскими доменными именами (.ru,.рф.,.su,.moscow и т.п.), а также иностранные сайты, переведенные на русский язык (кроме плагинов автоперевода) и отвечающие хотя бы одному дополнительному критерию:
- допускают расчеты в рублях;
- предполагают исполнение заключенного на сайте договора в России (доставка товара, оказание услуги или использование цифрового контента);
- используют отсылающую к сайту рекламу на русском языке;
- имеют иные обстоятельства, явно свидетельствующие о намерении владельца сайта включить российский рынок в свою бизнес-стратегию.
10. Компания заблуждается в том, что она не обрабатывает данные
Такой «казус» возникает в случае, если организация считает, что пока личность пользователя не установлена, то сведения о нем не считаются персональными данными. Но в п. 1 ст. 3 Федерального закона «О персональных данных» сказано: «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Например, сбор сведений о пользователях с использованием сервисов «Яндекс Метрика» и Google Analytics был признан обработкой персональных данных (решение Таганского районного суда города Москвы от 19.12.2018 по делу № 2-4261/2018). Поэтому на сайтах следует указывать cookie-баннер и опубликовать политику о сервисах веб-аналитики, объясняющую, ведется ли с их помощью сбор персональных данных.
Читайте также: